Linux, bezpečnost, virtualizace, cloud computing
Linux, bezpečnost, virtualizace, cloud computing a programování
Články v oblasti zabezpečení počítačových systémů
Připravil jsem pro vás novou verzi skriptu pro kontrolu napadení serveru operací Windigo.
Jeho způsob použití se nezměnil od verze 1.0.1. Je popsán v článku Kontrolní skript na operaci Windigo.
Byla vylepšena zejména kontrola knihoven libkeyutils. Dále byly přidány nové signatury napadených verzí webového serveru komponentou Linux/Cdorked. Změny v testování Parl/Calfbor a Linux/Onimiki jsou pouze kosmetické.
Pokračovat ve čtení „Kontrolní skript na operaci Windigo verze 1.0.2“
Operace Windigo byla odhalena. Ale znamená to její konec? Bohužel, téměř jistě ne. Okolnosti nasvědčují tomu, že o operaci Windigo ještě uslyšíme. V tomto článku se dozvíte, proč mám tento názor.
Nebezpečnost operace Windigo nelze považovat za zažehnané. Autoři útoku Windigo již v minulosti více než jednou reagovali na odhalení komponenty, a vytvořili její novou verzi, která je proti dříve popsané ochraně odolná. Dokázali takto reagovat v horizontu dvou měsíců. Je velice pravděpodobné, že se pokusí svoji aktuální základnu 10.000 napadených serverů ochránit, a znovu rozšířit pomocí nových verzí škodlivých modulů, pro které stávající detekční postupy nebudou fungovat. Nejspíše na tom již intenzivně pracují.
Informace o operaci Windigo zasáhla svět Linuxu jako bomba těžkého kalibru.
Včera ráno nám začali volat naši zákazníci a ptali se, jestli jejich servery jsou v pořádku. Předevčírem jsem řešil spíše problémy daňové, tak jsem si ráno s mírným překvapením přečetl zprávu o operaci Windigo, na jejímž odhalení se významně podílel Eset.
Máme okolo 60 Linux serverů na veřejném adresním prostoru. Bylo mi proto ihned jasné, že kontrolovat je ručně znamená jistou cestu do blázince. Naprostá většina z nich je sice instalovaná tak říkajíc „skoro na tutovku“, ale jak známo, nic není úplně na 100 %.
V článku jsou vysvětleny základní příkazy potřebné pro používání programu GPG v prostředí příkazového řádku operačního systému Linux. Napsáním tohoto článku nechci nahrazovat manuálové stránky nebo snad kompletní dokumentaci programu GPG. Jsem praktik, sepisuji pro vás proto jen základní úkony, které každý administrátor Linuxu občas potřebuje. Dokumentace k programu GPG je natolik rozsáhlá, že nastudování těchto parametrů, a jejich opětovné vyhledávání po nějakém čase, kdy jsem již přesnou syntaxi příkazů zapomněl, mě samotného stála dost času. Snad vám tento článek čas ušetří.
Při praktickém používání programu GPG nejčastěji využíváme následující příkazy.
Pro získání veřejnho klíče z výchozího keyserveru:
$ gpg –recv-keys ID_klíče
Postup je velice jednoduchý. Potřebujeme však k jeho realizaci superuživatelská práva k operačnímu systému. Zabezpečení databáze MySQL potom obejdeme následujícím postupem:
1) Zastavíme MySQL server
# /etc/init.d/mysqld stop
nebo
# service mysqld stop
Na Britských listech vyšel článek Google: „Uživatelé Gmailu nemohou očekávat soukromí“
Článek popisuje aktuální stav, kdy obsah emailů ovlivňuje zobrazovaný obsah reklam. stanovisko společnosti Google je v článku Firma Google v tiskovém prohlášení potvrzuje, že “ informace v Gmailu mohou být použity různými způsoby“
Pro odbornou veřejnost tato fakta již dlouhou dobu nejsou tajemstvím. Několik let mám zprávy z různých zdrojů o spolupráci Google a velkých mezinárodních společností působících jako telefonní operátoři i u nás. Pokračovat ve čtení „Soukromí na účtech Gmailu“
Nákup software je mnohými managery považován za standardní způsob získání prostředků pro plnění požadavků jimi řízeného podniku. Otevřený software není příliš v kurzu. Na první pohled vypadá totiž celá záležitost velice jednoduše: Koupíme software a máme vyřešený problém.
Na pohled další to už tak idylicky nevypadá. Pokračovat ve čtení „Kupte si komerční software! A s ním starosti a náklady.“
Ve čtvrtém díle našeho seriálu se budeme věnovat podrobněji na příkazy využívající logy daemona auditd
Tyto nástroje mohou vyřešit i problémy se SELinuxem, které nejsou řešitelné pomocí booleans ani změnou bezpečnostních kontextů příkazem semanage.
Daemon auditd implicitně generuje log /var/log/audit/audit.log a s ním budeme pracovat.
Audit2why je vlastně alias k příkazu audit2allow s parametrem -w. Příkaz:
# audit2allow -w -a
vám parsuje soubor audit.log a upozorňuje na potřebné akce.
Příkaz audit2allow má ale mnohem širší využití. Příkaz : Pokračovat ve čtení „SELinux na RHEL a CentOS prakticky IV.“
S tímto problémkem jsme se v minulosti utkali již vícekrát. Většinou jsme to řešili port forwardingem na routeru/firewallu (klasika). Alternativou je řešení pomocí OpenVPN. To jsme také několikrát využili.
Výjimečně jsme potřebovali tunelovat SSH. Řešili jsme to tak trochu po svém, než jsem při hledání něčeho jiného (jak už to bývá) narazil na Rootu v Jendově blogu na jednodušší řešení.
Kouzlo je ve spuštění jediného příkazu na serveru za NAT-em:
# ssh -R 0.0.0.0:2222:localhost:22 tunel@xx.xx.xx.xx -n -N -o ConnectTimeout=20 ConnectionAttempts=1
Pokračovat ve čtení „Přístup pomocí SSH na server za NAT-em“
Pro kolegy jsem připravil jednoduchý návod na zprovoznění kvót. Níže uvedený článek jsem použil jako zdroj, a dále jen svoje znalosti. Vše je jen v heslech:
# quotacheck -i -u[g] / # Vytvoří soubory quoty (aquota.user, ev. i aguota.group) v kořenovém adresáři.
Povolení skupinových kvót jako volitelné, bez hranatých závorek.
Pokračovat ve čtení „Quoty na Linuxu – rychlé zprovoznění a základy ovládání“
Ve třetím díle seiálu o SELinuxu se podíváme podrobněji na příkaz semanage.
Syntaxe je:
semanage {login|user|port|interface|fcontext} -l [-n]
semanage login -{a|d|m} [-sr] login_name
semanage user -{a|d|m} [-LrRP] selinux_name
semanage port -{a|d|m} [-tr] [-p protocol] port | port_range
semanage interface -{a|d|m} [-tr] interface_spec
semanage fcontext -{a|d|m} [-frst] file_spec
Jak vidíte, prvním parametrem příkazu je právě jeden z následujích parametrů – login, user, port, interface, fcontext. Pokračovat ve čtení „SELinux na RHEL a CentOS prakticky III.“
Připravili jsme jako naprostou novinku Školení práce s datovými schránkami se základy kryptografie.
Školení je určeno pro majitele a managery malých společností, advokáty a notáře. Pro všechny, kteří ze zákona musí s datovými schránkami pracovat, a nemají k tomu potřebné znalosti.
Na našem školení se naučíte nejen pracovat se svojí datovou schránkou, ale dozvíte se i informace o tom, jak vlastně datové schránky fungují. Přístupnou formou vám vysvětlíme, jak kryptografie chrání vaše data a co je to vlastně ten elektronický podpis.
Pro bližší informace nás kontaktujte na skoleni@aacomputer.cz
Pokračujeme druhým dílen na téma SELinux z rodiny RHEL, Fedora a CentOS.
Příkaz vypíše základní informace o SELinuxu. Výpis vypadá nějak takto:
$ sestatus SELinux status: enabled SELinuxfs mount: /selinux Current mode: enforcing Mode from config file: enforcing Policy version: 21 Policy from config file: targeted $
Pokračovat ve čtení „SELinux na RHEL a CentOS prakticky II.“
Tyto články jsou určeny všem správcům serverů s instalovaným RHEL nebo CentOS, kteří vypínají SELinux. A raději by jej využili než vypínali.
Trochu jinak řečeno, ještě jsme (za 5 roků činnosti naší společnosti!) nepřebírali do správy server, který by měl SELinux zapnutý! Ale asi není důvod příliš hloubat nad tím, co je příčinou. Stačí se pokusit prostudovat 180 stránek oficiální dokumentace k SELinuxu od Red Hatu pro aktuální RHEL. A se zapnutým SELinuxem vám ledacos prostě nechodí. Když zrovna nejste na SELinux guru a přitom potřebujete problém produktivně vyřešit. Oficiální dokumentace je v této situaci naprosto strašidelné počtení.